Migration du contrôle d’accès

pas d’objet correspondant, l’ADC en crée un. La première version
d’ADC est sortie avec Windows 2000, mais je recommande d’utiliser la version améliorée
qui accompagne Exchange 2000. Elle permet, en effet, de dupliquer les contextes
de nommage des sites et des configurations Exchange Server 5.5.

Par défaut, l’ADC migre les listes de distribution (DL) Exchange Server 5.5 vers
les groupes de distribution universels (UDG) d’AD, que l’on peut consulter à  partir
de n’importe quel emplacement de la forêt Windows 2000. Mais cette migration peut
créer des problèmes de contrôle d’accès si, par exemple, vous utilisez les DL
d’Exchange Server 5.5 pour définir le contrôle d’accès sur les dossiers publics
Exchange Server 5.5. Les UDG créées par l’ADC n’ont pas de SID. Or ceux-ci sont
cruciaux pour définir le contrôle d’accès sur les objets Exchange 2000.

Windows 2000 résout ce problème en convertissant automatiquement les UDG en Groupes
de sécurité universels (USG). Cette conversion a lieu lors de la mise à  niveau
d’un magasin de dossiers publics Exchange Server 5.5 à  Exchange 2000, lors de
la duplication d’un dossier public sur un serveur Exchange 2000 ou lorsqu’un client
Microsoft Outlook utilise une DL pour attribuer des permissions sur un dossier
public Exchange 2000. La conversion automatique fonctionne seulement si le domaine
Windows 2000 est en mode natif ; les USG ne sont pas disponibles lorsque Windows
2000 fonctionne en mode mixte.

Windows 2000 utilise l’augmentation des jetons pour résoudre un autre type de
problème de migration dans lequel les appartenances aux USG d’un utilisateur ne
sont pas disponibles pour son ticket Kerberos. Par exemple, un utilisateur est
membre d’un USG dans un domaine AD natif et le compte d’utilisateur se trouve
dans un domaine AD mixte ou dans un domaine NT 4.0. Le système utilise l’USG pour
définir l’accès à  un objet Exchange 2000 (par exemple un dossier public). Lorsqu’un
utilisateur se connecte à  un domaine Windows 2000, le contrôleur de domaine interroge
un serveur GC (Catalogue global) pour découvrir les appartenances aux groupes
de l’utilisateur et les stocker dans son ticket Kerberos. Mais le GC ne divulgue
l’appartenance aux groupes que lorsque le domaine est en mode natif. Comme le
compte d’utilisateur est un domaine en mode mixte, le ticket Kerberos de l’utilisateur
ne contient pas ses appartenances aux USG ; l’utilisateur ne peut donc pas accéder
aux ressources dont la sécurité est assurée par les USG utilisées par le système.
L’augmentation des jetons permet à  une application comme Exchange 2000 de trouver
les appartenances aux USG de l’utilisateur et de les ajouter à  son jeton d’accès.
Il faut le SP1 (Service Pack 1) pour permettre le fonctionnement de l’augmentation
des jetons.